Eseguire i passaggi seguenti per caricare e applicare firme personalizzate alle regole e proteggere il traffico da attacchi dannosi.

1. Dall'interfaccia utente di NSX Manager, è possibile aggiungere un bundle di firme personalizzate o includere manualmente firme personalizzate in un elenco di firme esistente.

2. Dopo il caricamento, convalidare le firme personalizzate. I risultati della convalida sono: Valida, Non valida o Attenzione.

   Nota:

   Se una firma è contrassegnata come Non valida, verificare la presenza di errori nei metadati. Ad esempio, se la direzione del traffico specificata nella firma non è corretta, NSX IDS/IPS la classifica come non valida. Correggere i metadati e convalidare nuovamente la firma.

   Per impostazione predefinita, le firme contrassegnate con Attenzione vengono escluse e non verranno pubblicate a meno che non si selezionino specificamente le firme con stato Attenzione che devono essere pubblicate nei nodi di trasporto e negli NSX Edge.

3. Pubblicare le firme.

4. Una volta pubblicate le firme personalizzate, per applicarle alle regole del firewall distribuito (DFW) o del firewall del gateway (GFW), aggiungerle a un profilo NSX IDS/IPS. Modificare il profilo per incorporare le firme personalizzate e le firme di sistema. Dopo la pubblicazione delle regole, viene eseguito il push del profilo e delle regole in base allo SPAN della regola. Quando si verifica una corrispondenza della firma, viene attivato un evento.

   Nota:

   Poiché sono accettate solo le firme univoche, NSX modifica gli ID delle firme personalizzate originali aggiungendoli a un intervallo compreso tra 1 miliardo e 2 miliardi. Gli ID delle firme originali rimangono accessibili nell'interfaccia utente o nell'API di NSX Manager.

5. Le regole in DFW o GFW che utilizzano il profilo IDS contenente firme personalizzate saranno attive e pronte a rispondere alle potenziali minacce. Quando il traffico corrisponde a una firma personalizzata, IDS/IPS genera un avviso, che è visibile nella pagina dell'interfaccia utente IDS/IPS > Monitoraggio.

6. In base ai dettagli delle intrusioni, come gravità, CVE, CVSS e le macchine virtuali interessate dalla minaccia, gli amministratori della sicurezza possono eseguire i passaggi appropriati per ridurre il rischio.